악성 패키지 탐지, 기여자 평판, 행위 분석 등 공급망 보안 영역까지 지원
[한국M&A경제] 소프트와이드시큐리티(대표 정진)가 이스라엘 앱 보안 테스팅(AST) 전문기업 체크막스와 밸류 애디드 리셀러(Value Added Reseller, VAR) 계약을 체결하며 오픈소스 보안 시장을 적극 공략한다고 8일 밝혔다.
소프트와이드시큐리티는 2007년 설립된 보안 전문기업으로 웹 앱, 데이터베이스(DB), 시스템 등 각 분야 글로벌 리더 기업의 취약점 진단도구를 국내에 공급했다. 2010년에는 국내 최초로 솔루션 기반의 취약점 진단 자동화 서비스를 시작하며 명실상부한 보안 취약점 전문기업으로 성장했다.
소프트와이드시큐리티는 지난해 12월 AST 글로벌 리더 기업인 체크막스와 체결한 이번 VAR 파트너십을 통해 소프트웨어 구성 분석(SCA) 솔루션을 기반으로 오픈소스 소프트웨어 공급망 보안(Supply Chain Security, SCS) 시장을 적극 공략할 예정이다.
소프트웨어(SW) 공급망 공격은 과학기술정보통신부와 한국인터넷진흥원이 발표한 ‘2023년 사이버 보안 위협’과 ‘2024년 보안 위협 전망’에 모두 포함될 만큼 보안에 중요한 화두다. 오픈소스를 활용한 SW 개발이 보편화하면서 오픈소스 취약점을 이용한 SW 공급망 공격이 증가하고 피해가 확산하면서 중요성은 더욱 높아졌다.
SW 공급망 공격은 취약점이 공개되고 패치되기 전까지 가장 집중적으로 일어나기 때문에 SW 구성 요소에서 취약점을 빠르게 파악하고 패치하는 것이 매우 중요하다. 체크막스는 SCA 솔루션을 통해 오픈소스의 취약점을 빠르게 파악하고 패치를 정확하게 수행할 수 있다. 소프트웨어 자재 명세서(SBOM)를 생성해 SW 공급망 피해를 예방할 수 있게 한다.
오픈소스 보안 취약점과 라이선스 위험을 관리하는 체크막스 SCA 솔루션은 기존 SCA 툴이 제공하는 SBOM 생성, 오픈소스 라이선스 및 CVE 문제 확인을 포함해 악성 패키지 탐지와 기여자 평판, 행위 분석, 지속적인 결과 처리 등 공급망 보안 영역까지 지원한다.
오픈소스 소프트웨어(OSS)의 사용을 추적하고 규정 준수를 유지하기 위해서는 SBOM을 생성하고 내보내고, 오픈소스 프로젝트 내 비정상적인 활동을 식별하고, 정적 및 동적 분석을 통해 악성 행위를 검사해야 한다. 또 위협 헌팅 및 위협 인텔 DB에 대한 피드백 등을 통해 오픈소스 코드에서 발생할 수 있는 모든 라이선스 위험, 취약성 및 악성 패키지를 식별해 안심하고 오픈소스 패키지를 사용할 수 있도록 해야 한다.
소프트와이드시큐리티 정진 대표는 “오픈소스를 활용한 SW 개발이 90%에 이르고 월평균 70만 개 이상의 오픈소스 기반 패키지가 배포되고 있는 만큼, 오픈소스 개발 환경을 대상으로 하는 SW 공급망 공격은 지속해서 증가할 것으로 예측된다”며 “소프트와이드시큐리티의 보안 취약점 분야 업력과 전문성을 기반으로 이번 체크막스와의 파트너십을 통해 SW 공급망 공격의 근본 대응책이 될 수 있는 안전한 OSS 개발 및 관리를 위한 최적의 솔루션과 서비스를 제공하겠다”고 말했다.
[한국M&A경제=이용준 기자] news@kmnanews.com
